Support-Portal

SFOS 17.5 GA Released

Beschreibung

SFOS 17.5 GA wurde released.

Das Release wird in drei Phasen ausgerollt.

1. Das Release wird über MySophos bereitgestellt.
2. Das Release wird zunehmend auf den Appliances bereitgestellt.
3. Das Release wird für alle übrigen Installationen bereitgestellt.

Bemerkungen

Erzwingen der SafeSearch-Suchmaschine und zusätzlicher Bildfilter ist nun pro Web-Richtlinie konfigurierbar und nicht länger eine globale Einstellung.

Die Option wurde von „Web –> General Settings“ zu den zusätzlichen Optionen bewegt, die ihnen zur Verfügnung stehen, wenn sie eine Web-Richtlinie einrichten. Zusätzlich sind YouTube-Einschränkungen nun als separate Option verfügbar.

Nach dem Update wird das Verhalten genauso sein wie vorher, indem die Option einfach allen vorhandenen Web-Richtlinien hinzugefügt wird. Die einzigen Ausnahmen sind die folgenden fest-eingebauten, nicht editierbaren Richtlinien: Alle Erlauben (Allow All), Alle verweigern (Deny All) und CIPA-Compliance.

 

IPS enthält nun die Cisco Talos IPS Library und weniger allgemeine IPS-Kategorien.

 

XG Firewall 17.5 enthält nun Avira Virus Scan Engine v4.x. Wenn v17.5 das erste mal hochfährt, werden alle Avira Pattern (auf einmal, nicht inkrementell) heruntergeladen und die Virus Scan Engine wird neu geladen. Dies kann wenige Sekunden bis ein paar Minuten in Anspruch nehmen, abhängig von der verfügbaren Bandbreite. In dieser Zeit wird Web- und Email-Verkehr blockiert. Blockierte Emails werden gespoolt, als Grund wird „Malware scan failed“ angegeben. Die Emails werden zugestellt sobald die Scan Engine neu geladen ist.

Features

Lateral Movement Protection

Lateral Movement Protection erweitert die automatische Bedrohungsisolation des Security Heartbeat, um zu verhindern, dass sich eine Bedrohung lateral durch das Netzwerk ausbreitet, auch im selben Subnetz. Die Firewall weist alle unbefallenen Endpoints an, befallene Endpoints zu isolieren.

Synchronized User ID

Synchronized User ID verbessert durch Nutzung des Security Heartbeats die Authentifizierung für userbasierte Richtlinien und Berichte in sämtlichen Active Domain-Netzwerken, da kein Server oder clientbasierte Agent mehr benötigt werden.

Education Features

Education Features enthalten:

  •  Richtlinienbasierte Steuerung der User über SafeSearch und YouTube-Einschränkungen
  • Lehrergesteuerte Webfilter-Überschreibung
  • Chromebook Authentifiierungs-Support
Email Features

Sender Policy Framework (SPF) Anti-Spoofing Schutz und eine neue MTA basierend auf Exim, welche einige der meistgefragten Funktionsunterschiede zwischen XG und SG Firewalls schließt.

IPS Protection

IPS wurde mit stark erweiterten Kategorien verbessert, wodurch sie ihren Schutz und ihre Performance optimieren können.

Management Verbesserungen

– Verbessertes gruppieren von Firewall-Regeln mit automatischer Gruppenzuweisung
– benutzerdefinierte Spaltenauswahl für den Log Viewer
– Überarbeitete Online-Hilfe mit lehrender Herangehensweise

VPN und SD-WAN Failover und Failback

– Neue IPsec-Failover- und Failback-Steuerung
– SD-WAN Link Failback Optionen

Client Authentifizierung

Client-Authentifizierung bekommt ein großes Update mit einer Reihe von Verbesserungen, wie zum Beispiel:

– Per-Machine Deployment
– Logout-Option
– Support für Wake-From-Sleep
– MAC address sharing

Sophos Connect

Sophos Connect ist der neue IPsec-VPN-Client von Sophos.
Dieser ist für jeden XG Firewall Kunden verfügbar, macht Remote-VPN benutzerfreundlicher und unterstützt Synchronized Security.

XG Firewall nun über Sophos Central verwaltbar

Mit SFOS 17.5 GA schließt sich die XG Firewall nun auch Sophos Central an. Das Early-Access-Programm für Sophos Central Management der XG Firewall wird voraussichtlich bald anlaufen.

Sie können die Sophos – XG Firewall zusammen mit allen anderen Sophos Central-Produkten von Sophos Central aus verwalten. Neben Sophos Central Management von XG Firewall gibt es einige großartige neue Funktionen:

  • Sicherer Zugriff und Verwaltung mit Single Sign-On von überall aus über Sophos Central
  • Backup-Verwaltung und Speicherung für regelmäßig geplante Firewall-Backups
  • Firmware-Update-Verwaltung, um Updates mehrerer Firewalls zu vereinfachen
  • Light-Touch-Bereitstellung für die einfache Remote-Einrichtung einer neuen Firewall
Zusätzliches

In dem nachfolgenden Maintenance Release wird noch zusätzlich folgendes enthalten sein:

APX Wireless Access Points WAVE 2 Performance:

  • Schnellere Verbindungen, höhere Kapazität und optimierte Performance

Airgap-Unterstützung für Bereitstellungen, bei denen XG Firewall Updates nicht automatisch über Internet beziehen können (aufgrund einer „Airgap“ oder physischer Isolation) _Pattern- und Lizenzupdates können nun manuell geupdatet werden.

Betroffene Produktgruppen

Bugfixes

  • NC-39029: [Authentication] Show proper error message in UI if you enter an used port in Chromebook SSO configuration
  • NC-39212: [Authentication] CSD: make sure the userSessions map is not overwritten
  • NC-39532: [Authentication] Migration from 17.1 fails if host definition for "*.gstatic.com" exists
  • NC-39677 : [Authentication] Success message shown in ui even though deleting a user fails
  • NC-37683 : [Base System] cURL (libcurl) NTLM Authentication Code Buffer Overrun Vulnerability (CVE-2018-14618)
  • NC-37683: [Base System] cURL (libcurl) NTLM Authentication Code Buffer Overrun Vulnerability (CVE-2018-14618)
  • NC-39192: [CM-Join-to-cloud] Appropriate status should update on SF and Sophos Central once FW is remove from Central and register again
  • NC-36497: [Email] POP3 mails reach the proxy empty
  • NC-38052: [Email] Subject not displayed properly in mail log with sender generated password method
  • NC-38282: [Email] mail_sender opcode stuck in CSC
  • NC-38470: [Email] Some reason filters on mail log page are not working as expected
  • NC-38571: [Email] Port validation not working when adding new port in SMTP via CLI
  • NC-39233: [Email] Email delivery failed for some recipients when email containing 512 recipients
  • NC-39280: [Email] Error message 'Relay not permitted' when sending an inbound mail to email address base profile
  • NC-39379: [Email] Bad (malformed syntax) mails should be displayed separately from network failed emails on UI
  • NC-39454: [Email] Mail doesn't get formatted properly when file filter protection applied
  • NC-39513: [Email] Network type IP host should not allowed to add in exception policy
  • NC-39668: [Email] RDNS check should be applied to inbound emails only
  • NC-39737: [Email] Mail from header changed when wrong "Return-Path" used in smart host deployment
  • NC-39953: [Email] Email attachments get corrupted with BDAT
  • NC-38505: [IPS] IPS policy backup is not created while applying signature upgrade
  • NC-39687: [IPS] IPS log filling up with entries and causing problems for legitimate traffic
  • NC-39083: [IPsec] IPsec: charon starts parsing fragmented messages before they are reassembled
  • NC-38832: [Network Services] Issue with wildcard FQDN based rule
  • NC-37817: [UI Framework] SAC tab not loaded because of OutOfMemory error
  • NC-39310: [UI Framework] Control Center: Icons for VPN and Connections have been switche
  • NC-38184: [Web] Check settings functionality is not working from device level of firewall manager(SFM)
  • NC-38844: [Web] Web Policy Override not working in HA(A-A) mode if traffic served from Aux appliance
  • NC-39039: [Web] When "Drop connection" feature is enabled, blocked/warned events are not logged correctly